eBay sửa một phần lỗ hổng có khả năng đã bị tội phạm mạng khai thác cho việc tấn công giả mạo và lừa đảo trực tuyến

Vàongày 02/02/2016, các nhà nghiên cứu tại Check Point đã phát hiện ra một lỗ hổngtrong eBay có thể đã được khai thác để tiến hành lừa đảo và những cuộctấn công bằng phần mềm độc hại.

eBay cho phép người dùng chèn nội dung hoạt động vào phần mô tả sản phẩm trong gian hàng của họ, nhưng sử dụng các bộ lọc lỗ hổng XSS (cross-site scripting filters) với nỗ lực nhằm ngăn chặn sự lạm dụng. Tuy nhiên, các chuyên gia đã phát hiện ra rằng, chỉ bằng việc sử dụng một kỹ thuật JSFuck mà nó cho phép chèn một tập tin JavaScript từ xa vào một trang web khi sử dụng một tổ hợp chỉ với 6 ký tự ([ ] ( ) ! ) là có thể đi qua các bộ lọc XSS của eBay.

CheckPoint đã chứng minh được rằng kẻ tấn công có thể dễ dàng lừa người dùng bàngiao toàn bộ hồ sơ (credentials) của họ trên một trang web lừa đảo chỉ đơn giảnbằng việc thiết lập một gian hàng có chứa mã độc trên eBay và khai thác các nạnnhân “viếng thăm”. Khi đó, các trang web lừa đảo và phần mềm độc hại hiện ra đểkết nối tới tên miền ebay.com chính thống khiến một số người dùng “mắc bẫy”.

eBaynói rằng họ đã thực hiện các tính năng lọc an toàn dựa trên những phát hiện củaCheck Point đồng thời lưu ý rằng nội dung độc hại là rất hiếm gặp trên gianhàng trực tuyến của họ. Hãng thương mại điện tử khổng lồ cũng nói rằng không thấybất kỳ hoạt động lừa đảo nào khai thác các lỗ hổng được báo cáo bởi các chuyêngia.

Tuynhiên, dường như việc sửa chữa một phần của eBay chưa đủ để ngăn chặn các mã độckhai thác lỗ hổng. Thứ 6 vừa qua, Netcraft báo cáo rằng đã thấy một vài danhsách trang eBay giả mạo nhắm mục tiêu khai thác lỗ hổng này.

Theo Netcraft, tội phạm mạng đã cài đặt mã độc trên các tài khoản eBay bị tổn hại,bao gồm cả những tài khoản được tạo từ vài năm trước và những tài khoảnnày có 100% ý kiến phản hồi xác thực.

Trongmột trường hợp tấn công, những kẻ lừa đảo đã chép nội dung một danh sách thật củaloại xe RV bán trên eBay 3 tháng trước đó và đăng tải trong một gian hàng màchúng đã chiếm hữu được tạo ra vào tháng 4/2010. Người dùng truy nhập vào đây sẽlập tức bị chuyển hướng tới một trang web đã thiết kế “nhái” eBay.

Trêntrang eBay giả mạo, RV, loại xe đã bán với giá 19.295 USD từ người bán hợp phápgiảm xuống còn 6.300 USD. Trong trường hợp này, thay vì chiếm hồ sơ của nạnnhân, kẻ tấn công sẽ cố gắng lừa họ “mua” xe.

Khingười dùng nhấn vào các nút “Buy it now” hoặc “Make offer” trên trang web giả mạo,họ chỉ đơn giản là được yêu cầu cấp địa chỉ email, rồi theo đó những kẻ lừa đảo sẽ kết nối với họ trongmột nỗ lực lừa họ gửi tiền mua xe bằng cách chuyển khoản qua ngân hàng. Với nỗ lực làm cho trang giả giống như trang chính thống và chiếm được sự tin tưởng của nạn nhân, kẻ lừa đảo còn sử dụng cả một dịch vụ bảo lãnh giả mạo.

Nhữngchiêu trò này là rất phổ biến trên eBay và cũng đã giúp cho tin tặc kiếm đượchàng triệu đô la.

Theochuyên gia Paul Mutton của Netcraft: "Kiểu tấn công lừa đảo cụ thể này chothấy sự phát triển đáng lưu ý trong các hình thức tấn công của tội phạm mạng. Sự khônngoan của nó là không chỉ bắt đầu từ trang web eBay chính thống và sử dụng nhưng tập tinmang tên ngẫu nhiên đã xóa đi để tránh sự phát hiện, mà chúng còn cố gắng loại bỏmột số chứng cứ trong Server Log của eBay: Khi tất cả các hình ảnh sử dụng trêntrang bán đấu giá giả mạo được lấy cắp từ trang đấu giá hợp pháp trước đó, tộiphạm mạng còn mã hóa hình ảnh sang định dạng ký tự 64 bít hoặc sử dụng mộtwebsite riêng của chúng để “phục vụ”. Điều này nghĩa là không một tiêu đề thamchiếu nào được truyền tới máy chủ trang web của eBay chính thống, nếu không thì nó đã có thể lật tẩy địa điểm của trang web lừa đảo”.

Netcraftcho biết, việc đưa ra mỗi trang eBay khác nhau có thể vẫn chỉ là của cùng một nhómlừa đảo thiết lập nên để dẫn dắt các nạn nhân tới một trang web eBay giả mạo,nơi mà người dùng được hỏi để chấp nhận tên và mật khẩu khi nhấn vào nút “Buy it now”. Những hồ sơ người dùng màbọn chúng chiếm được có thể bị sử dụng để tạo ra những chiêu trò gian lận kháctrên tài khoản eBay hợp pháp của nạn nhân.

Theo securityweek.com

HG